50 milhões de senhas de e-mail de brasileiros podem ter sido vazadas 

Executivo da Syhunt, empresa que se debruçou sobre os dados de e-mail vazados em fevereiro, aponta que número pode ser muito maior que o anunciado inicialmente

Foto: Christian Wiediger / Unsplash

Raphael Coraccini,

colaboração para o CNN Brasil Business

Ouvir notícia

 

A Syhunt, empresa que foi responsável por identificar senhas de e-mails de brasileiros disponibilizadas na internet, vazadas em fevereiro junto com mais de 3 bilhões de senhas de usuários pelo mundo, aponta que, somando os servidores mais famosos, como Gmail e Hotmail, o número de senhas disponíveis de brasileiros pode superar os 50 milhões.

A empresa divulgou recentemente que, apenas os domínios .br e outros relacionados ao governo, como o .gov, somavam 9,7 milhões de senhas disponibilizadas na internet por hackers. “A gente não sabe o número total de brasileiros afetados. O número real de senhas vazadas pode ir além de 50 milhões”, disse Felipe Daragon, executivo de desenvolvimento e fundador da Syhunt, ao mencionar o potencial de dano causado se for levado em conta grandes servidores, como Gmail e Hotmail.  

 

Ele explica que os 50 milhões não dizem respeito ao número de contas de e-mail, mas de senhas atuais e antigas que foram usadas para acessar essas contas. Ele explica que, mesmo senhas antigas podem ser valiosas para criminosos. “As pessoas reutilizam senhas e chegamos a identificar 30 senhas vazadas de uma mesma pessoa”.

Os hackers identificam padrões de senhas e costumam usar como referência para acessar as contas. “Por isso estão tão de olho nesse tipo de arquivo, isso vai ser usado, mesmo que, em muitos casos, sejam senhas antigas”, explica.

Diferentemente do vazamento de dados de 223 milhões de brasileiros, descoberto em janeiro deste ano, desta vez, todas as informações foram jogadas gratuitamente na internet. Daragon afirma que essa prática é comum quando hackers identificam que as informações já não são exatamente novas.

“Dentro desse submundo se faz isso, de compartilhar senhas, mas eu acredito que muitas delas foram comercializadas em algum momento, quando ainda eram frescas”. Ele explica ainda que, durante a varredura feita pela Syhunt, não foi possível identificar se havia senhas de 2021 na lista.

Cada vez mais expostos

Apesar do vazamento não ter relação aparente com o de janeiro, o executivo da Syhunt aponta que o brasileiro tem ficado cada vez mais vulnerável desde a exposição dos 223 milhões de CPF. Segundo Daragon, essas informações podem ser associadas a outras informações, como as das senhas de e-mails, e exploradas para todo tipo de fraude, ataques e roubos de dados. “A gente está correndo o risco de enfrentar um efeito dominó dessa onda de vazamentos”, diz o executivo.

O arquivo de 100 GB de senhas de e-mail, com 3,2 bilhões de senhas de pessoas de todo o mundo, é um arquivo com informações enriquecidas. Segundo Daragon, os hackers incluíram dados novos sobre uma base de 1,4 bilhão de senhas de e-mail que haviam sido vazadas em 2017.

A Syhunt aponta que as mais de 3 bilhões de senhas estavam disponíveis no mesmo site onde os 223 milhões de CPFs de brasileiros foram expostos, informação confirmada por uma pessoa que tem acesso aos sites que vendem esse tipo de informação na deep web.

Ela afirmou também que, logo depois da repercussão do vazamento de janeiro, houve uma fuga de visitantes do site por medo das investigações que a Polícia Federal estava fazendo. Porém, com o tempo, as atividades se restabeleceram. Segundo a fonte, os comerciantes de informações estão usando o mesmo site porque viram que ninguém os parou.

Daragon, da Syhunt afirma que, em 20 anos trabalhando na área de segurança da informação, nunca viu uma crise como esta, e questiona a atuação das autoridades para refrear os vazamentos sucessivos e o comércio ilegal de dados.  “A gente não vê uma atuação forte das autoridades, e não só as do Brasil. Deveria haver uma atuação internacional. O problema é grave, e medidas precisam ser tomadas, mecanismos novos de proteção precisam ser criados, caso contrário, haverá uma escalada de fraudes. E não é só aqui”, alerta.

Servidores podem ser porta de entrada

Entre as senhas vazadas de e-mails de brasileiros, a Syhunt identificou 68.500 senhas de funcionários do governo. Para Danilo Doneda, advogado especializado em Direito Digital e membro da Associação Internacional de Profissionais de Privacidade (IAPP), o acesso a senhas de e-mails governamentais pode ser uma passagem direta para informações dos cidadãos, que apenas os órgãos públicos possuem.

“O estado tem que cuidar para que o próprio servidor tenha maior segurança, utilize práticas mais seguras e que os sistemas que ele opera também sejam mais seguros”, diz o advogado. “Porque, além de comprometer o servidor, o vazamento pode atingir dados que são da população e que podem ser valiosos”, ressalta.

Doneda destaca o fato de o Brasil ser o maior país do mundo com uma lei de proteção de dados, a LGPD, que entrou em vigor em agosto do ano passado, mas também o país que tem experimentado a mais vultuosa sequência de vazamentos.

“Existe uma percepção na população de que os problemas são muito graves e constantes. Não é normal esse ritmo de vazamento, não é corriqueiro em outros países. A gente está vivendo o efeito de ter passado muito tempo sem ter cuidado com a informação, e isso não se resolve em pouco tempo”.

Os vazamentos têm sido tão frequentes e vultuosos que têm enchido o mercado ilegal de informações, o que, tanto na economia normal quanto no submundo, derruba o preço da mercadoria. Recentemente, um hacker invadiu a plataforma Eduzz, de cursos online, e roubou uma base de dados de 12 milhões de brasileiros. Segundo outra fonte, que tem conhecimento sobre as práticas de vendas de dados na deep web, o hacker tentou vender por 50 mil dólares a base roubada, mas conseguiu apenas uma oferta de 500 dólares pelas informações.

 

 

Mais Recentes da CNN